php安全铁律

http://cxc359170248.blog.163.com/blog/static/115407313201222681435225/

规则 1：毫不要信任外部数据或输入
清单 1. 安全无暇的代码
清单 2. 不安全、有瑕疵的代码
清单 3. 使用户输入变得安全
规则 2：禁用那些使安全性难以实施的PHP设置
规则 3：若是不能理解它，就不能保护它
清单 4. 使代码容易获得保护
规则 4：“纵深防护” 是新的法宝
防止SQL注入攻击
清单 5. 不安全的 PHP 表单处理代码
清单7：展现了带转义处理的代码

原来mysql_escape_real_string和htmlspeicalchars是两回事。
msyql_*系列已是过期了,相应的应该考虑用PDO
hmtlspecialchars是用于HMTL展现的